Azure Storage、Event Hubs、または Log Analytics に Intune のログ データを送信する

  • [アーティクル]

Microsoft Intune には、お客様の環境に関する情報を提供する組み込みのログがあります。

  • 監査ログには、作成、更新 (編集)、削除、割り当て、リモート アクションなど、Intune で変更を生成するアクティビティの記録が表示されます。
  • 運用ログには、登録に成功 (または失敗) したユーザーとデバイスの詳細、および非準拠デバイスの詳細が表示されます。
  • デバイス コンプライアンス組織ログには、Intune のデバイス コンプライアンスに関する組織レポートと、非準拠デバイスの詳細が表示されます。
  • IntuneDevices には、Intune の登録済みデバイスとマネージド デバイスに関するデバイスのインベントリと状態の情報が表示されます。

これらのログは、ストレージ アカウント、Event Hubs、Log Analytics などの Azure Monitor サービスにも送信できます。 具体的には次のことができます。

  • Intune ログを Azure Storage アカウントにアーカイブしてデータを保持するか、一定の時間アーカイブします。
  • Splunk や QRadar などの一般的なセキュリティ情報イベント管理 (SIEM) ツールを使用して分析するために、Intune ログを Azure Event Hubs にストリーミングします。
  • Event Hubs にストリーミングすることで、Intune ログを独自のカスタム ログ ソリューションと統合します。
  • Intune ログを Log Analytics に送信して、接続されているデータの高度な視覚化、監視、および警告を実現する。

このような機能は、Intune の診断設定の一部です。

この記事では、診断設定を使用してログ データをさまざまなサービスに送信する方法について説明し、例とコスト見積もりを示し、一般的な質問に回答します。 この機能を有効にすると、選択した Azure Monitor サービスにログがルーティングされます。

注:

これらのログでは、変更される可能性のあるスキーマが使用されます。 ログの情報などのフィードバックを提供するには、「Intune のフィードバック」に移動します。

前提条件

この機能を使用するには、以下が必要です。

監査ログ データをルーティングする場所によっては、次のいずれかのサービスが必要になります。

ログを Azure Monitor に送信する

  1. Microsoft Intune 管理センターにサインインします。

  2. [レポート]>[診断設定] を選択します。 初めて開いたときに有効にします。 それ以外の場合、設定を追加します。

    Microsoft Intune で診断設定をオンにして、ログを Azure Monitor に送信する方法を示すスクリーンショット。

    Azure サブスクリプションが表示されない場合は、右上隅に移動し、サインインしているアカウント >[ディレクトリの切り替え] の順に選択します。 Azure サブスクリプション アカウントを入力する必要がある場合があります。

  3. 次のプロパティを入力します。

    • 名前: 診断設定の名前を入力します。 この設定には、入力したすべてのプロパティが含まれます。 たとえば、「Route audit logs to storage account」と入力します。

    • ストレージ アカウントへのアーカイブ: ログ データを Azure Storage アカウントに保存します。 データを保存またはアーカイブする場合は、このオプションを使用します。

      1. このオプション >[構成] の順に選択します。
      2. 一覧から既存のストレージ アカウント >[OK] の順に選択します。

    • Event Hubs へのストリーミング: ログを Azure Event Hubs にストリーミングします。 Splunk や QRadar などの SIEM ツールを使用してログ データを分析する場合は、このオプションを選択します。

      1. このオプション >[構成] の順に選択します。
      2. 一覧から既存の Event Hubs 名前空間とポリシー>[OK] の順に選択します。

    • Log Analytics に送信する: Azure Log Analytics にデータを送信します。 ログの視覚化、監視、アラートを使用する場合は、このオプションを選択します。

      1. このオプション >[構成] の順に選択します。

      2. 新しいワークスペースを作成し、ワークスペースの詳細を入力します。 または、一覧から既存のワークスペース >[OK] の順に選択します。

        Azure Log Analytics ワークスペースでは、これらの設定に関する詳細情報が提供されます。

    • [ログ]>[AuditLogs]: Intune 監査ログをストレージ アカウント、Event Hubs、または Log Analytics に送信する場合は、このオプションを選択します。 監査ログには、Intune で変更を生成したすべてのタスクの履歴 (誰がいつ行ったのかなど) が表示されます。 詳細については、「IntuneAuditLogs」 を参照してください。

      ストレージ アカウントの使用を選択した場合は、データを保持する日数 (リテンション期間) も入力します。 データを永続的に保持するには、[リテンション期間 (日数)]0 (ゼロ) に設定します。

    • [ログ]>[OperationalLogs]: 運用ログには、Intune に登録されているユーザーとデバイスの成功または失敗と、非準拠デバイスの詳細が表示されます。 登録ログをストレージ アカウント、Event Hubs、または Log Analytics に送信する場合は、このオプションを選択します。 詳細については、「IntuneOperationalLogs」 を参照してください。

      ストレージ アカウントの使用を選択した場合は、データを保持する日数 (リテンション期間) も入力します。 データを永続的に保持するには、[リテンション期間 (日数)]0 (ゼロ) に設定します。

    • [ログ]>[DeviceComplianceOrg]: デバイス コンプライアンス組織ログには、Intune のデバイス コンプライアンスに関する組織レポートと、非準拠デバイスの詳細が表示されます。 コンプライアンス ログをストレージ アカウント、Event Hubs、または Log Analytics に送信する場合は、このオプションを選択します。 詳細については、「IntuneDeviceComplianceOrg」 を参照してください。

      ストレージ アカウントの使用を選択した場合は、データを保持する日数 (リテンション期間) も入力します。 データを永続的に保持するには、[リテンション期間 (日数)]0 (ゼロ) に設定します。

    • [ログ]>[IntuneDevices]: Intune デバイス ログには、Intune の登録済みデバイスとマネージド デバイスに関するデバイスのインベントリと状態の情報が表示されます。 IntuneDevices ログをストレージ アカウント、Event Hubs、または Log Analytics に送信する場合は、このオプションを選択します。 詳細については、「IntuneDevices」 を参照してください。

      ストレージ アカウントの使用を選択した場合は、データを保持する日数 (リテンション期間) も入力します。 データを永続的に保持するには、[リテンション期間 (日数)]0 (ゼロ) に設定します。

    完了すると、設定は次のようになります。

    Microsoft Intune 監査ログを Azure Storage アカウントに送信する方法を示すスクリーンショット。

  4. 変更内容を保存します。 一覧に設定が表示されます。 設定が作成されたら、[設定の編集]>[保存] の順に選択して設定を変更できます。

Intune 全体で監査ログを使用する

登録、コンプライアンス、構成、デバイス、クライアント アプリなど、Intune の他の部分で使用される監査ログをエクスポートすることもできます。

詳細については、「監査ログを使用してイベントを追跡および監視する」を参照してください。 「ログを Azure Monitor に送信する」 (この記事内) で説明されているように、監査ログの送信先を選択することもできます。

監査ログのプロパティ

監査ログには、次のプロパティとそれらの特定の値があります。

プロパティ プロパティの説明
ActivityType 管理者が実行するアクション。 Create、Delete、Patch、Action、SetReference、RemoveReference、Get、Search
ActorType アクションを実行しているユーザー。 Unknown = 0、ItPro、IW、System、Partner、Application、GuestUser
カテゴリ アクションが実行されたペイン。 Other = 0、Enrollment = 1、Compliance = 2、DeviceConfiguration = 3、Device = 4、Application = 5、EBookManagement = 6、ConditionalAccess= 7、OnPremiseAccess= 8、Role = 9、SoftwareUpdates =10、DeviceSetupConfiguration = 11、DeviceIntent = 12、DeviceIntentSetting = 13、DeviceSecurity = 14、GroupPolicyAnalytics = 15
ActivityResult アクションが成功したかどうか Success = 1

コストの考慮事項

既に Microsoft Intune ライセンスをお持ちの場合は、ストレージ アカウントと Event Hubs を設定するための Azure サブスクリプションが必要です。 通常、Azure サブスクリプションは無料です。 ただし、アーカイブ用のストレージ アカウントやストリーミング用の Event Hubs など、Azure リソースの利用には料金がかかります。 データやコストの合計は、テナントの規模によって変わります。

アクティビティ ログのストレージ サイズ

各監査ログ イベントでは、データ ストレージに約 2 KB が使用されます。 ユーザー数が 100,000 人のテナントの場合、1 日あたり約 150 万件のイベントが発生する可能性があります。 その場合、1 日あたり約 3 GB のデータ ストレージが必要になる可能性があります。 通常、書き込みは 5 分ごとにバッチで行われるため、1 か月あたり約 9,000 件の書き込み操作が予想されます。

次の表は、テナントの規模に応じたコスト見積もりを示しています。 また、少なくとも 1 年間データを保持できるように、米国西部の汎用 v2 ストレージ アカウントも含まれています。 ログについて予想されるデータ量の見積もりを取得するには、Azure Storage 料金計算ツールを使用します。

100,000 ユーザーの監査ログ:

カテゴリ
1 日あたりのイベント 150 万
1 か月あたりの推定データ量 90 GB
1 か月あたりの推定コスト (USD) $1.93
1 年あたりの推定コスト (USD) $23.12

1,000 ユーザーの監査ログ:

カテゴリ
1 日あたりのイベント 15,000
1 か月あたりの推定データ量 900 MB
1 か月あたりの推定コスト (USD) $0.02
1 年あたりの推定コスト (USD) $0.24

アクティビティ ログの Event Hubs メッセージ

通常、イベントは 5 分間隔でバッチ処理され、その時間枠内のすべてのイベントを含む単一のメッセージとして送信されます。 Event Hubs のメッセージの最大サイズは 256 KB です。 時間枠内のすべてのメッセージの合計サイズがその量を超えると、複数のメッセージが送信されます。

たとえば、ユーザーが 100,000 人を超える大規模なテナントの場合、通常、1 秒間に約 18 個のイベントが発生します。 この値は、5 分ごとに 5,400 イベント (300 秒 x 18 イベント) に相当します。 監査ログはイベントごとに約 2 KB です。 この値は 10.8 MB のデータに相当します。 そのため、その 5 分間の間隔で 43 個のメッセージが Event Hubs に送信されます。

次の表は、イベント データの量に応じた、米国西部地域の基本的な Event Hubs の月額推定コストを示しています。 ログについて予想されるデータ量の見積もりを取得するには、イベント ハブ料金計算ツールを使用します。

100,000 ユーザーの監査ログ:

カテゴリ
イベント/秒 18
5 分間隔ごとのイベント 5,400
間隔あたりの量 10.8 MB
間隔あたりのメッセージ 43
1 か月あたりのメッセージ 371,520
1 か月あたりの推定コスト (USD) $10.83

1,000 ユーザーの監査ログ:

カテゴリ
イベント/秒 0.1
5 分間隔ごとのイベント 52
間隔あたりの量 104 KB
間隔あたりのメッセージ 1
1 か月あたりのメッセージ 8,640
1 か月あたりの推定コスト (USD) $10.80

Log Analytics コストの考慮事項

Log Analytics ワークスペースの管理に関連するコストを確認するには、「Log Analytics でデータ量と保持期間を制御してコストを管理する」に移動します。

よく寄せられる質問 (FAQ)

待機時間、コストへの影響、サポートされている SIEM ツールなど、よく寄せられる質問に対する回答を取得します。

どのログが含まれていますか。

Intune の監査ログ運用ログは、この機能を利用したルーティングに使用できます。

アクションの後、ログはいつ Azure Monitor サービスに表示されますか?

アクションの後:

  • Intune の監査ログ運用ログは、Intune から Azure Monitor サービスに直ちに送信されます。
  • Intune デバイス コンプライアンス組織ログIntuneDevices レポート データは、24 時間ごとに Intune から Azure Monitor サービスに送信されます。

Intune からデータが送信されると、通常は 30 分以内に Azure Monitor サービスにデータが表示されます。

管理者が診断設定の保持期間を変更した場合は、どうなりますか?

新しいアイテム保持ポリシーは、変更後に収集されたログに適用されます。 ポリシーの変更前に収集されたログは影響を受けません。

データの保存にかかるコストはどのくらいですか。

ストレージ コストは、ログのサイズと選択した保持期間によって変わります。 生成されるログ ボリュームに依存するテナントの推定コストの一覧については、この記事の「アクティビティ ログのストレージ サイズ」 を参照してください。

Azure Event Hubs にデータをストリーミングするには、どれくらいのコストがかかりますか?

ストリーム コストは、1 分間に受信するメッセージ数によって変わります。 コストの計算方法とメッセージ数に基づくコスト見積もりの詳細については、この記事の「アクティビティ ログの Event Hubs メッセージ」 を参照してください。

Intune の監査ログを SIEM システムと統合するにはどうすればよいですか。

Event Hubs で Azure Monitor を使用して、ログを SIEM システムにストリーミングします。

  1. ログを Event Hubs にストリーミングします
  2. 構成された Event Hubs を使用して SIEM ツールを設定します。

現在サポートされている SIEM ツールは何ですか。

現在、Splunk、QRadar、Sumo Logic (新しい Web サイトが開きます) で Azure Monitor がサポートされています。 コネクタのしくみの詳細については、「Azure 監視データを Event Hubs にストリーミングして外部ツールで使用する」を参照してください。

外部 SIEM ツールを使用せずに Azure Event Hubs からデータにアクセスできますか?

はい。 カスタム アプリケーションからログにアクセスするには、Event Hubs API を使用できます。

どのデータが保存されますか。

Intune では、パイプラインを介して送信されたデータは保存されません。 Intune では、テナントの権限でデータが Azure Monitor パイプラインにルーティングされます。 詳細については、「Azure Monitor の概要」を参照してください。

関連コンテンツ